GDPR Explicado: A Quién Afecta, Requisitos y Sanciones
El Reglamento General de Protección de Datos (GDPR) es la ley de privacidad más importante de la Unión Europea. Regula cómo las organizaciones recopilan, almacenan, procesan y comparten datos personales de personas en la UE. Desde su entrada en vigor en mayo de 2018, ha transformado fundamentalmente la forma en que las empresas de todo el mundo manejan la información personal.
Si tu organización maneja datos de cualquier persona en la UE — ya sea que estés en Madrid, Ciudad de México o Buenos Aires — el GDPR te aplica.
¿A Quién Afecta el GDPR?
Respuesta corta: a casi todos. A diferencia de la mayoría de regulaciones que se dirigen a sectores o tamaños de empresa específicos, el GDPR no tiene umbral mínimo. Si procesas datos personales de residentes de la UE, estás dentro del alcance.
Específicamente, el GDPR aplica a:
- Cualquier organización con sede en la UE, sin importar su tamaño — desde un autónomo hasta una multinacional
- Cualquier organización fuera de la UE que ofrezca bienes o servicios a residentes de la UE, o monitoree su comportamiento (analíticas web, tracking publicitario)
- Encargados del tratamiento — si manejas datos en nombre de otra empresa (proveedores cloud, plataformas SaaS, servicios de nómina), tienes obligaciones directas bajo el GDPR
- Todos los sectores — sanidad, finanzas, educación, retail, tecnología, manufactura, administración pública
Concepto Erróneo Común
“Somos una empresa pequeña, el GDPR no nos aplica.” Error. Una clínica dental con 200 pacientes, un gimnasio local con base de datos de socios, un desarrollador web freelance que instala analytics en los sitios de sus clientes — todos están dentro del alcance. El GDPR no tiene umbral de facturación, ni mínimo de empleados, ni volumen mínimo de datos.
Requisitos Clave
El GDPR establece siete principios fundamentales y una serie de obligaciones específicas:
1. Base Legal para el Tratamiento
Necesitas una razón legítima para tratar datos personales. Las seis bases legales son: consentimiento, contrato, obligación legal, intereses vitales, interés público o interés legítimo. “Queremos los datos” no es una base legal.
2. Delegado de Protección de Datos (DPD)
Debes designar un DPD si eres una autoridad pública, si tus actividades principales implican monitorización a gran escala de personas, o si tratas categorías especiales de datos (salud, biometría, antecedentes penales) a gran escala.
3. Evaluación de Impacto en Protección de Datos (EIPD)
Antes de iniciar actividades de tratamiento de alto riesgo, debes evaluar los riesgos para las personas y documentar cómo los vas a mitigar. Esto incluye decisiones automatizadas, tratamiento a gran escala de datos sensibles y monitorización sistemática de espacios públicos.
4. Notificación de Brechas
Si se produce una brecha de datos personales, debes notificar a tu autoridad de control en un plazo de 72 horas desde que tengas conocimiento. Si la brecha supone un alto riesgo para las personas, también debes notificarles directamente. Sin excepciones.
5. Derechos de los Interesados
Las personas tienen derechos sobre sus datos:
| Derecho | Qué Significa |
|---|---|
| Acceso | Las personas pueden solicitar una copia de todos los datos que tienes sobre ellas |
| Rectificación | Pueden pedir que corrijas datos inexactos |
| Supresión | El “derecho al olvido” — pueden pedir que elimines sus datos |
| Portabilidad | Pueden solicitar sus datos en formato legible por máquina para llevarlos a otro proveedor |
| Limitación | Pueden pedir que dejes de tratar sus datos mientras se resuelve una disputa |
| Oposición | Pueden oponerse al tratamiento basado en interés legítimo o marketing directo |
6. Registro de Actividades de Tratamiento
Debes mantener registros detallados de qué datos personales tratas, por qué, cómo y durante cuánto tiempo. Este es el pilar de tu cumplimiento — los reguladores lo pedirán primero.
7. Privacidad por Diseño y por Defecto
La protección de datos debe incorporarse a tus sistemas y procesos desde el inicio, no añadirse como un parche después. La configuración predeterminada debe ser la opción más respetuosa con la privacidad.
Por Qué el GDPR Importa Más Allá del Cumplimiento
El GDPR no se trata solo de evitar multas. Se está convirtiendo en una ventaja competitiva:
- Contratos empresariales: Las grandes empresas exigen cada vez más cumplimiento GDPR a sus proveedores. ¿Sin evidencia de cumplimiento? Sin contrato.
- Confianza del consumidor: El 79% de los europeos dice estar preocupado por cómo se usan sus datos. Demostrar cumplimiento GDPR genera confianza.
- Estándar global: El GDPR ha inspirado leyes similares en todo el mundo (LGPD de Brasil, CCPA de California, APPI de Japón). Cumplir con el GDPR te deja a medio camino de cumplir con otros marcos.
- Reducción de riesgo: Una gobernanza de datos adecuada reduce la superficie de ataque y el impacto de las brechas. El cumplimiento GDPR es buena higiene de seguridad.
Qué Pasa Si No Cumples
Las Multas
Las multas del GDPR operan en dos niveles:
- Nivel inferior: Hasta 10 millones de euros o el 2% de la facturación anual global (lo que sea mayor) — por infracciones relacionadas con medidas técnicas, registros y obligaciones del DPD
- Nivel superior: Hasta 20 millones de euros o el 4% de la facturación anual global (lo que sea mayor) — por infracciones de principios fundamentales, bases legales, derechos de los interesados y transferencias internacionales
Un Escenario Que Quita el Sueño
Este es un escenario ilustrativo basado en patrones reales de aplicación.
Una clínica médica de tamaño medio almacena historiales de pacientes en una unidad compartida sin cifrado. El portátil de un empleado — con una copia local de 50.000 historiales — es robado de un coche durante la noche. Historiales médicos, recetas, notas de salud mental y datos de seguros aparecen en la dark web en cuestión de días.
La clínica tarda cuatro días en darse cuenta de que falta el portátil. No notifican a la autoridad de control en las 72 horas porque “aún están investigando.” Nunca notifican a los pacientes porque “no quieren causar alarma.”
Las consecuencias se acumulan:
- Una investigación de la autoridad de control revela: sin cifrado, sin controles de acceso, sin evaluación de impacto y sin procedimiento de notificación de brechas
- Multa: 4 millones de euros (4% de la facturación)
- Una demanda colectiva de los pacientes afectados
- Cobertura mediática que destruye la reputación de la clínica
- Los pacientes se cambian a competidores que pueden demostrar protección de datos adecuada
- La defensa del responsable de TI: “No pensé que nos pasaría a nosotros”
Tendencias Reales de Aplicación
Desde 2018, las autoridades de protección de datos de la UE han impuesto más de 4.000 millones de euros en multas GDPR. Casos destacados:
- Meta (Irlanda): 1.200 millones de euros por transferencias ilegales de datos a EE.UU.
- Amazon (Luxemburgo): 746 millones de euros por segmentación publicitaria no conforme
- TikTok (Irlanda): 345 millones de euros por fallos en el tratamiento de datos de menores
- H&M (Alemania): 35 millones de euros por vigilancia excesiva de empleados
Las pymes no son inmunes. Multas de 10.000 a 500.000 euros se imponen regularmente a pymes por fallos básicos: falta de consentimiento, notificación de brechas inadecuada o no responder a solicitudes de derechos.
Cómo Empezar
Si partes de cero, estos son los primeros pasos:
1. Mapea Tus Datos
Antes de proteger datos, necesitas saber qué tienes. Documenta:
- ¿Qué datos personales recopilas?
- ¿Para qué los recopilas?
- ¿Dónde se almacenan?
- ¿Quién tiene acceso?
- ¿Durante cuánto tiempo los conservas?
2. Establece Tu Base Legal
Para cada actividad de tratamiento, identifica tu base legal. Si te basas en el consentimiento, asegúrate de que cumple los estándares del GDPR: libre, específico, informado e inequívoco. Las casillas premarcadas y el consentimiento enterrado en los términos de servicio no cuentan.
3. Prepara un Plan de Respuesta a Brechas
Crea un plan de respuesta antes de necesitarlo. Define quién es notificado, cómo evalúas la gravedad y cómo contactarás a tu autoridad de control en 72 horas. Practícalo.
4. Responde a las Solicitudes de Derechos
Establece un proceso para gestionar solicitudes de acceso, supresión y portabilidad. Tienes 30 días para responder. Automatiza lo posible — los procesos manuales fallan a escala.
5. Evalúa Tu Riesgo
Usa una herramienta de evaluación de cumplimiento para identificar brechas en todos los requisitos del GDPR. Prioriza las áreas de mayor riesgo: notificación de brechas, base legal y derechos de los interesados.
El cumplimiento del GDPR es un viaje, no un destino. Empieza por lo básico, construye de forma sistemática y mejora continuamente. El coste del cumplimiento siempre es menor que el coste de una brecha.
¿Listo para evaluar tu cumplimiento normativo?
Empieza tu evaluación gratuita hoy y descubre en qué punto estás con GDPR, NIS2, DORA, ISO 27001 y más.
Written by
Metrica.uno Team
Content Team
Metrica.uno Team is part of the Metrica.uno team, helping organizations navigate AI compliance with practical insights and guidance.
Artículos relacionados
Cyber Resilience Act (CRA) Explicado: A Quién Afecta, Requisitos y Sanciones
Todo lo que necesitas saber sobre el CRA: a quién aplica, requisitos de seguridad para productos digitales, obligaciones de SBOM y consecuencias del incumplimiento.
DORA Explicado: A Quién Afecta, Requisitos y Sanciones
Todo lo que necesitas saber sobre DORA: a quién aplica, requisitos de resiliencia digital, gestión de riesgos de terceros TIC y consecuencias del incumplimiento.
ENS (Esquema Nacional de Seguridad): Requisitos y Certificación
Todo lo que necesitas saber sobre el ENS: quién lo necesita, requisitos de seguridad, niveles de certificación y por qué es imprescindible para contratos con la Administración Pública.